Un nuevo informe del NIST busca crear conciencia sobre las principales vulnerabilidades asociadas a la gestión de claves de usuario, ofrece medidas concretas para asegurar y proteger los sistemas y entornos que utilicen SSH.

La publicación del NIST describe varias áreas de vulnerabilidad de SSH que se encuentran comúnmente en las empresas, entre ellas se incluyen:

• Aplicaciones SSH vulnerables
• Controles de acceso configurados incorrectamente
• Robo de clavez SSH, filtración y sus derivados
• Puertas traseras mediante uso de claves de usuario
• El uso no intencionado de claves de usuario
• Uso como pivote
• La falta de conocimiento y errores humanos

También se proporcionan medidas para manejar las claves SSH, dentro de ellas se recomienda: 

Definir el ciclo de vida de las claves SSH con base en las políticas de terminación y procesos. La configuración del acceso a una cuenta para los usuarios interactivos y procesos automatizados debe ser una decisión bien planteada, en donde se equilibre la necesidad de acceso frente a los riesgos y se incluya la consideración del nivel de acceso requerido. 

Establecer procesos de seguimiento y auditoría continua. El propósito de la vigilancia continua es asegurar que los procesos de provisionamiento, gestión del ciclo de vida y terminación se siguen al pie de la letra y se hacen cumplir. Las claves de usuario SSH no autorizadas y mal configuradas deben ser detectadas. 

Inventario de los servidores SSH existentes, las llaves y las relaciones de confianza, así como sus riesgos. Plantear y hacer un analisis de riesgos de seguridad es importante, aunque suele ser difícil de desarrollar si no se entienden dichos riesgos. Un inventario de la ubicación de todas las claves SSH existentes y un inventario de las relaciones de confianza debe ser creado y evaluado contra las políticas definidas. 

Automatizar los procesos. La automatización de los procesos que intervienen en la gestión de acceso SSH basado en clave puede mejorar significativamente la seguridad, eficiencia y disponibilidad. 

Educar a la alta dirección. Muchos ejecutivos no son conscientes del papel central que desempeñan las claves SSH en el funcionamiento de la infraestructura crítica o los incumplimientos significativos en la misión que podrían ocurrir si son explotados. Sin suficiente educación ejecutiva, enfocada tanto a la seguridad como a la operación, las iniciativas de gestión de claves SSH pueden ser dejadas de lado por otras prioridades aparentemente superiores, dejando a una organización vulnerable.